Pay2Key: Một biến thể ransomware có thể mã hóa toàn bộ mạng trong vòng chưa đầy một giờ.

Các chuyên gia bảo mật quốc tế đã đưa ra thông báo khẩn cấp về một biến thể ransomware hoàn toàn mới có tên Pay2Key. Phần mềm ransomware đã được phát hiện là chủ động nhắm mục tiêu vào các mạng bên trong các tổ chức và doanh nghiệp ở Israel và Brazil. Mã hóa nhanh đáng chú ý chỉ mất chưa đầy một giờ.

Hiện tại, các cuộc tấn công có chủ đích liên quan đến ransomware mới này vẫn đang được điều tra và chủ yếu bắt nguồn từ các địa chỉ IP của Brazil. Tuy nhiên, không có gì đảm bảo rằng mã độc sẽ không lây lan nhanh chóng trên toàn thế giới trừ khi các biện pháp ngăn chặn cần thiết được thực hiện kịp thời.

Mã hóa mạng trong vòng chưa đầy một giờ

Theo báo cáo mới nhất từ ​​các chuyên gia bảo mật của Check Point, nhóm tin tặc đứng sau hoạt động Pay2Key rất có thể đang sử dụng Giao thức Máy tính Từ xa (RDP) để truy cập trực tiếp vào mạng của nạn nhân và phát tán phần mềm độc hại gốc. Điều này có nghĩa là các thợ đào Pay2Key có khả năng xâm nhập và hoạt động trên mạng mục tiêu trước khi ransomware bắt đầu mã hóa hệ thống. Sau đó, khi quá trình mã hóa diễn ra, ransomware chỉ cần nhiều nhất một giờ để “hóa đá” toàn bộ hệ thống mạng của nạn nhân.

Khi đã ở trong mạng của nạn nhân, kẻ tấn công thiết lập một hệ thống proxy chịu trách nhiệm cho tất cả các giao tiếp đến và đi giữa máy tính bị nhiễm ransomware và máy chủ điều khiển và kiểm soát của Pay2Key (C2). Chiến thuật này giúp tin tặc tránh một cách hiệu quả hoặc ít nhất là giảm nguy cơ bị phát hiện trước khi mã hóa tất cả các tệp có thể truy cập trên mạng mục tiêu bằng một thiết bị duy nhất để giao tiếp với cơ sở hạ tầng của chúng.

Số tiền chuộc có thể lên đến hàng trăm nghìn đô la.

Cũng như các trường hợp ransomware do con người điều hành khác, kẻ chủ mưu của Pay2Key sử dụng công cụ di động PsExec hợp pháp của Microsoft để thực thi từ xa một trọng tải ransomware có tên Cobalt.Client.exe trên các thiết bị mạng của tổ chức mục tiêu.

Sau khi mã hóa thành công thiết bị của bạn, ransomware sẽ gửi thông báo đòi tiền chuộc đến hệ thống của bạn. Thông báo này được tùy chỉnh cụ thể với số nhận dạng cho từng tổ chức bị xâm phạm. [TÊN TỔ CHỨC] _ĐẠI CỨ.TXT. Thông báo đòi tiền chuộc cũng đề cập rằng một số tệp của nạn nhân đã bị đánh cắp trong cuộc tấn công, nhưng Check Point vẫn chưa tìm ra bằng chứng về việc này.

Ghi chú về phần mềm độc hại ransomware

Nhà điều hành Pay2Key hiện đang yêu cầu một khoản tiền chuộc nhỏ, nhưng về cơ bản nó vẫn thấp so với nhiều biến thể ransomware, từ 7 đến 9 bitcoin cho mỗi trường hợp (khoảng 110.000 USD – 140.000 USD). Trong đó, số vụ việc do nạn nhân trình báo là thấp nhất. 4 Bitcoin (khoảng $ 62,000).

Về bản chất, Pay2Key triển khai kết hợp các lược đồ mã hóa đối xứng và không đối xứng bằng cách sử dụng thuật toán AES và RSA, với Máy chủ C2 cung cấp khóa công khai RSA trong thời gian chạy. Điều này cho thấy rằng Pay2Key sẽ không mã hóa các hệ thống không có kết nối internet hoặc máy chủ C2 đang ngoại tuyến.

“Cuộc điều tra về Pay2Key đang diễn ra và các cuộc tấn công Pay2Key gần đây cho thấy rõ ràng sự xuất hiện của các tác nhân mới tham gia vào xu hướng tấn công có mục tiêu ransomware trên Internet. Được thiết kế tốt để tối đa hóa tác hại và giảm thiểu phát hiện trên toàn cầu.”Các nhà nghiên cứu của Checkpoint đã kết luận.

Back to top button